★阿修羅♪ 現在地 HOME > IT7 > 412.html
 ★阿修羅♪
次へ 前へ
インターネット定点観測(ポート6129のスキャンが増えてる模様)
http://www.asyura2.com/0411/it07/msg/412.html
投稿者 クエスチョン 日時 2005 年 2 月 20 日 12:33:17: WmYnAkBebEg4M
 

インターネット定点観測(ポート6129のスキャンが増えてる模様)
http://www.cyberpolice.go.jp/detect/observation.html


【セキュリティーホールmemo】記事からたどりました。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/02.html#20050218

6129 TCP はDameware Worm 、Agobot、Mockbot等、ボット・トロイの木馬関連で使われるポート。


6129(TCP):リモート管理用ソフトウェアであるDameware のセキュリティホールを突くアクセスの可能性があります。
http://www.ipa.go.jp/security/txt/2004/documents/crack-full0405.pdf


脆弱性の悪用
http://www.casupport.jp/virusinfo/2005/win32_agobot.htm

Win32.Agobotは、Windowsオペレーティング システムおよびサードパーティのアプリケーションの脆弱性を悪用して、増殖することもあります。 Win32.Agobotが開発されるにつれ、ますます多くの脆弱性が使用されるようになっていますが、全亜種が以下のすべての脆弱性を悪用するわけではありません。


4. DameWare Mini Remote Controlのバッファ オーバーフローの脆弱性(TCPポート6129)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=27586(英語)


参考

平成16年7月13日
警察庁

複数の脆弱性を悪用するGaobot ワームについて
http://www.cyberpolice.go.jp/detect/pdf/report_gaobot.pdf

 平成16 年6 月現在、Gaobot と呼ばれる複数の脆弱性を悪用するワームの亜種が続々と出現している。ウイルス対策ベンダーの平成16 年5 月期におけるウイルス感染被害状況1によれば、Gaobot ワームによる被害が上位に位置しており、その活発な活動状況がうかがえる。
 本レポートでは、Gaobot ワームの動作概要を調査し、警察庁のインターネット定点観測2において観測された、当該ワームからのものであると推定されるアクセスについて分析を行った。

1 Gaobot ワームとは
 Gaobot ワーム3はWindows OS や各種アプリケーションの脆弱性、ウイルスに感染した際に開かれるバックドアポートを悪用するワームである。Gaobot に感染したコンピュータはIRC(Internet Relay Chat)制御のトロイの木馬(IRC ボットとも呼ばれる)として動作し、攻撃者がIRC チャンネルを利用して遠隔から制御することが可能になる。Gaobot の中でも、IRC の代わりにP2P システムによる制御を主としたものを特にPhatbot と呼び、区別される場合がある。
 今までに出現したGaobot ワームの亜種は1350 種類(5 月25 日現在)4にも上るとされているが、この多数の亜種が存在する大きな要因として、同ワームのソースコードが出回っていることが挙げられる。このため、ソースコードをアレンジすることで、容易にワームの亜種を作成することが可能となっている。


1 ウイルス対策ベンダーにおける2004 年5 月のウイルス感染被害状況
・トレンドマイクロ ウイルス感染被害レポート - 2004 年4 月度・5 月度
http://www.trendmicro.com/jp/security/report/report/archive/2004/mvr0405.htm

2 警察庁セキュリティポータルサイト@police . インターネット定点観測
http://www.cyberpolice.go.jp/detect/observation.html

3 Gaobot はAgobot の他、Phatbot やPolybot などとも呼ばれることがある。

4 W32/Gaobot.worm.gen (http://vil.nai.com/vil/content/v_100785.htm)


2 動作概要
 以下ではGaobot ワームの基本的な各種動作を説明する。なお、本動作概要はGaobotの多くの亜種に共通する一般的な動作について記述したものであり、異なる動作をするGaobot が存在又は出現する可能性があることに留意されたい。

(1) システム構成

(略)


(5) 攻撃者からの命令 − その他
 IRC クライアントとして動作するGaobot ワームの機能である「スキャン」及び「DDoS 攻撃」命令を例として挙げたが、他にもプロキシサーバ(SOCKS、HTTP、HTTPS)として機能したり、感染したホスト上に保存されている各種情報(電子メールアドレス等)を攻撃者へ送信したりと、数多くの機能6を実装している。

以下にGaobot が実装する命令の例を示す。

□.redirect.tcp
指定されたホストのポートへ、ローカルポートをリダイレクトする。

□.redirect.http [port]
指定されたポートでHTTP プロキシを開始する。http の他に、.redirect.https、.redirect.socks がある。

□.harvest.cdkeys
感染ホスト上のCD キーを盗み出す。

□.harvest.emails
感染ホスト上の電子メールアドレスを盗み出す。

□.http.update
指定されたホストから、http を使用してワーム本体を取得し、自身のバージョンアップを行う。http の他に、.ftp.update がある。


6 Agobot.FO(http://www.f-secure.co.jp/v-descs/v-descs3/agobot_fo.htm)
Phatbot Trojan Analysis (http://www.lurhq.com/phatbot.html)

(略)

(8) DameWare Mini Remote Control の脆弱性に対する攻撃
使用するポート:6129/tcp

 DameWare Mini Remote Control (DameWare 社)は、ネットワーク管理者がネットワークを介してリモートのコンピュータを管理するための、Windows 用サードパーティ製ソフトウェアである。Gaobot ワームは、同ソフトウェアのバージョン3.72以前に存在するバッファオーバーフローの脆弱性13を悪用して攻撃する。


13 DameWare Mini Remote Control Client Agent Service Pre-Authentication Buffer Overflow
Vulnerability resolved with the release of version 3.73
http://www.dameware.com/support/security/bulletin.asp?ID=SB2


(以下略)Adobeのpdfファイルで全28頁

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
最新投稿・コメント全文リスト  コメント投稿はメルマガで即時配信  スレ建て依頼スレ
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。